Horizon Client には、Horizon Client 機能と動作の設定に使用できるグループ ポリシーの ADMX テンプレート ファイルが含まれています。ADMX テンプレート ファイル内のポリシー設定を Active Directory 内の新しい GPO または既存の GPO に追加することによって、リモート デスクトップと公開アプリケーションの接続を最適化し、保護することができます。
テンプレート ファイルには、コンピュータの構成とユーザーの設定の両方のグループ ポリシーが含まれます。
- コンピュータの構成ポリシーは、ホストのクライアントを誰が実行しているかに関係なく、Horizon Client に適用するポリシーを設定します。
- ユーザーの構成ポリシーは、Horizon Client を実行している全ユーザー、ならびに RDP 接続設定に適用する Horizon Client ポリシーを設定します。ユーザーの構成ポリシーは、対応するコンピュータの構成ポリシーより優先されます。
Horizon Client は、リモート デスクトップおよび公開アプリケーションの起動時とユーザーのログイン時にポリシーを適用します。
Horizon Client 設定 ADMX テンプレート ファイル (vdm_client.admx)、グループ ポリシー設定を提供する ADMX ファイルはすべて、VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyy.zip 内にあります。YYMM はマーケティング バージョン番号、x.x.x は内部バージョン番号、yyyyyyy はビルド番号です。この ZIP ファイルは、VMware ダウンロード サイト (https://my.vmware.com/web/vmware/downloads) からダウンロードできます。このファイルを Active Directory サーバにコピーし、グループ ポリシー管理エディタを使用して管理テンプレートを追加する必要があります。手順については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。
クライアント GPO のスクリプト定義設定
リモート デスクトップのウィンドウ サイズ、ログイン ユーザー名、ログイン ドメイン名など、コマンド ラインから Horizon Client を実行する場合と同じ設定をグループ ポリシーに設定できます。
次の表では、VMware Horizon Client の設定 ADMX テンプレート ファイルにおけるスクリプト定義設定について説明します。このテンプレート ファイルには、各スクリプト定義の設定についてコンピュータ構成のバージョンとユーザー設定のバージョンが用意されています。ユーザーの設定は、対応するコンピュータの設定より優先されます。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
設定 | 説明 |
---|---|
Automatically connect if only one launch item is entitled | 使用資格のあるリモート デスクトップが 1 つしかない場合は、そのリモート デスクトップにユーザーを接続します。この設定により、リモート デスクトップを 1 台だけ含んだリストからリモート デスクトップを選択する必要がなくなります。 |
Connect all USB devices to the desktop or remote application on launch | リモート デスクトップまたは公開アプリケーションの起動時に、クライアント システムのすべての USB デバイスを、リモート デスクトップまたは公開アプリケーションに接続するかどうかを指定します。 |
Connect USB devices to the desktop or remote application when they are plugged in | USB デバイスがクライアント システムに差し込まれた場合、その USB デバイスをリモート デスクトップまたは公開アプリケーションに接続するかどうかを指定します。 |
DesktopLayout | ユーザーがリモート デスクトップにログインするときに表示される Horizon Client ウィンドウのレイアウトを指定します。次から選択できます。
この設定は、DesktopName to select setting も設定されている場合にのみ利用可能です。 |
DesktopName to select | Horizon Client がログイン時に使用するデフォルトのリモート デスクトップを指定します。 |
Disable 3rd-party Terminal Services plugins | 標準 RDP プラグインとしてインストールされているサードパーティ製ターミナル サービス プラグインを Horizon Client でチェックするかどうかを指定します。この設定を構成しない場合、サードパーティ製プラグインは Horizon Client によってデフォルトでチェックされます。この設定は、USB リダイレクトなどの Horizon 固有のプラグインには適用されません。 |
Locked Guest Size | 1 台のモニターでディスプレイを使用している場合は、リモート デスクトップの画面解像度を指定します。リモート デスクトップのディスプレイを [すべてのモニター] に設定している場合、この設定は機能しません。 この設定を有効にすると、リモート デスクトップの自動調整機能が無効になり、Horizon Client ユーザー インターフェイスで [ディスプレイのスケーリングを許可する] オプションが非表示になります。 |
Logon DomainName | Horizon Client がログイン時に使用する NetBIOS ドメインを指定します。 |
Logon Password | Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。セキュリティ向上のため、この設定を指定しないでください。ユーザーはパスワードをインタラクティブに入力できます。 |
Logon UserName | Horizon Client がログイン時に使用するパスワードを指定します。このパスワードは、Active Directory によってテキスト形式で格納されます。 |
Server URL | Horizon Client がログイン時に使用する URL(https://view1.example.com など)を指定します。 |
Suppress error messages (when fully scripted only) | ログイン時に Horizon Client によるエラー メッセージを非表示にするかどうかを指定します。 この設定は、ログイン プロセスが完全にスクリプト化されている場合、たとえば、必須のログイン情報がすべてグループ ポリシーによって事前に設定されている場合にのみ適用されます。 不正なログイン情報のためログインに失敗した場合は、ユーザーに通知されず、Horizon Client のプロセスが終了します。 |
Disconnected application session resumption behavior | ユーザーがサーバに再接続したときの公開アプリケーションの動作方法を決定します。次から選択できます。
この設定を有効にすると、エンド ユーザーは Horizon Client で再接続時における公開アプリケーションの動作を設定できません。 この設定を無効にすると、エンド ユーザーは Horizon Client で再接続時における公開アプリケーションの動作を設定できます。デフォルトでは、この設定は無効になっています。 |
Enable Unauthenticated Access to the server | Horizon Client を使用している場合、アプリケーションにアクセスするときに認証情報の入力をユーザーに求めるかどうかを決定します。 この設定が有効な場合、[非認証アクセス] 設定が Horizon Client に表示され、無効になり、選択されます。非認証アクセスが使用できない場合、クライアントは別の認証方法に戻って選択する場合があります。 この設定を無効にすると、ユーザーが公開アプリケーションにログインしてアクセスするときには必ず認証情報を入力するように要求されます。Horizon Client で、[非認証アクセス] 設定が非表示になり、無効になります。 デフォルトでは、ユーザーは Horizon Client での非認証アクセスを有効にできます。[非認証アクセス] 設定が表示され、有効にされて、選択解除されます。 |
Account to use for Unauthenticated Access | Enable Unauthenticated Access to the server グループ ポリシー設定が有効な場合、また、ユーザーが Horizon Client で [非認証アクセス] を選択して非認証アクセスを有効にしている場合、Horizon Client がサーバに匿名でログインするときに使用する非認証アクセス ユーザー アカウントを指定します。 サーバへの特定の接続で非認証アクセスが使用されない場合、この設定は無視されます。デフォルトでは、ユーザーはアカウントを選択できます。 |
Use existing client instance when connect to same server | ユーザーがすでに同じサーバに接続している場合に、既存の Horizon Client インスタンスへの接続を追加するかどうかを指定します。 未構成の場合、この設定はデフォルトで無効になります。 |
クライアント GPO のセキュリティ設定
セキュリティ設定には、証明書、ログイン認証情報、シングル サインオン機能のグループ ポリシーが含まれます。
次の表では、Horizon Client の設定 ADMX テンプレート ファイルにおけるセキュリティ設定について説明します。この表では、設定に含まれているのがコンピュータ構成とユーザー設定の両方か、コンピュータ構成だけかを示しています。両タイプの設定を含むセキュリティ設定の場合、ユーザー設定の方が、同等のコンピュータ設定よりも優先されます。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Allow command line credentials | X | Horizon Clientのコマンドライン オプションでユーザー認証情報を指定できるかどうかを指定します。この設定が無効になっていると、ユーザーがコマンド ラインから Horizon Clientを実行するときに smartCardPIN および password オプションは使用できません。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は AllowCmdLineCredentials です。 |
|
Configures the SSL Proxy certificate checking behavior of the Horizon Client | X | Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続で証明書確認を許可するかどうかを指定します。 この設定を使用しない場合(デフォルト)、ユーザーは Horizon Client で SSL プロキシの設定を手動で変更できます。Horizon Client の証明書確認モードの設定を参照してください。 デフォルトでは、Horizon Client は、Blast Secure Gateway とセキュアな接続で SSL プロキシ接続をブロックします。 |
|
Servers Trusted For Delegation | X | ユーザーが Horizon Client のメニュー バーの [オプション] メニューで [現在のユーザーとしてログイン] を選択したときに、入力されたユーザー ID と認証情報を受け入れる Connection Server インスタンスを指定します。Connection Server インスタンスを指定しない場合、Horizon Console で Connection Server インスタンスの [現在のユーザーとしてログインを許可] 認証設定が無効になっていない限り、すべての Connection Server インスタンスがこの情報を受け付けます。 Connection Server インスタンスを追加するには、次のいずれかの形式を使用します。
これに相当する Windows レジストリの値は BrokersTrustedForDelegation です。 |
|
Certificate verification mode | X | Horizon Client が実行する証明書確認のレベルを設定します。次のいずれかのモードを選択できます。
注: FIPS モードで動作している場合、証明書検証モードを変更することはできません。FIPS モードの場合、フル セキュリティ チェック オプションが永続的に選択されます。この場合、完全に検証可能な CA 署名付きサーバ証明書のみが受け入れられます。
この設定が構成されている場合、ユーザーは選択した証明書確認モードを Horizon Client で確認できますが、設定することはできません。証明書確認モードのダイアログ ボックスが表示され、管理者が設定をロックしていることをユーザーに通知します。 この設定を無効にすると、Horizon Client ユーザーは証明書確認モードを選択できるようになります。デフォルトでは、この設定は無効になっています。 サーバがHorizon Clientから提供された証明書の確認を実行できるようにするには、クライアントが Connection Server またはセキュリティ サーバ ホストに対して HTTPS 接続を行う必要があります。Connection Server またはセキュリティ サーバ ホストに対する HTTP 接続を確立する中間デバイスに TLS をオフロードした場合、証明書確認はサポートされません。 この設定をグループ ポリシーとして構成したくないときは、クライアント コンピュータの次のレジストリ キーのいずれかに、CertCheckMode 値の名前を追加することにより、証明書検証を有効にできます。
レジストリ キーでは次の値を使用します。
グループ ポリシー設定と Windows レジストリ キーの CertCheckMode 設定の両方を構成すると、グループ ポリシー設定の方がレジストリ キーでの設定よりも優先されます。
注:
Horizon Client の今後のリリースでは、Windows レジストリでの設定がサポートされなくなる可能性があります。グループ ポリシー設定を使用してください。
|
|
Default value of the 'Log in as current user' checkbox | X | X | Horizon Client のメニュー バーの [オプション] メニューで、[現在のユーザーとしてログイン] のデフォルト値を指定します。 この設定により、Horizon Clientインストール中に指定したデフォルトの値が上書きされます。 ユーザーがコマンド ラインから Horizon Clientを実行し、logInAsCurrentUser オプションを指定すると、この設定はその値によって上書きされます。 [オプション] メニューで [現在のユーザーとしてログイン] が選択されると、ユーザーがクライアント システムにログインするときに入力した ID と認証情報が Connection Server インスタンスに渡され、最終的にリモート デスクトップまたは公開アプリケーションに渡されます。[現在のユーザーとしてログイン] が選択されていない場合、リモート デスクトップまたは公開アプリケーションにアクセスする前に、ユーザーが ID と認証情報を複数回入力する必要があります。 デフォルトでは、この設定は無効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser です。 |
Display option to Log in as current user | X | X | [現在のユーザーとしてログイン] を Horizon Client のメニュー バーの [オプション] メニューに表示するかどうかを指定します。 [現在のユーザーとしてログイン] が表示される場合、ユーザーはこのオプションを選択または選択解除し、デフォルト値をオーバーライドできます。[現在のユーザーとしてログイン] が表示されない場合、ユーザーは Horizon Client の [オプション] メニューからデフォルト値をオーバーライドできません。 Default value of the 'Log in as current user' checkbox のポリシー設定を使用することで、[現在のユーザーとしてログイン] のデフォルト値を指定できます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は LogInAsCurrentUser_Display です。 |
Enable jump list integration
|
X | Windows 7 以降のシステムのタスクバーにあるHorizon Clientアイコンにジャンプ リストを表示するかどうかを決定します。ジャンプ リストを使用すると、最近使用したサーバ、リモート デスクトップまたは公開アプリケーションに接続できます。 Horizon Client が共有されている場合、最近使用したデスクトップおよび公開アプリケーションの名前を他のユーザーに見られたくないことがあります。この設定を無効にすると、ジャンプ リストを非表示にできます。 デフォルトでは、この設定は有効になっています。 これに相当する Windows レジストリの値は EnableJumplist です。 |
|
Enable SSL encrypted framework channel | X | X | View 5.0 以前のリモート デスクトップで TLS を有効にするかどうかを決めます。View 5.0 以前では、ポート TCP 32111 経由でリモート デスクトップに送信されるデータが暗号化されませんでした。
これに相当する Windows レジストリの値は EnableTicketSSLAuth です。 |
Configures Signature Algorithms Extension | TLS v1.2 の署名アルゴリズムを指定します。コロンで区切られた署名アルゴリズムのリストを入力します。アルゴリズムは、優先順位の高い順に、[アルゴリズム+ハッシュ] の形式で入力します。アルゴリズムとハッシュ名は大文字と小文字が区別されることをご注意ください。たとえば、RSA+SHA256:ECDSA+SHA256 とします。 このオプションが設定されていない場合、デフォルト値は OpenSSL ライブラリでサポートされているすべての署名アルゴリズムになります。 |
||
Configures SSL protocols and cryptographic algorithms | X | X | TLS 暗号化接続を確立する前に、特定の暗号化アルゴリズムとプロトコルの使用を制限する暗号リストを構成します。暗号リストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。暗号文字列では、大文字と小文字が区別されます。 デフォルト値は、[TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES] になります。 この暗号文字列は、TLS v1.1 と TLS v1.2 が有効で、SSL v.2.0、SSL v3.0、TLS v1.0 が無効になっていることを意味します。SSL v2.0、SSL v3.0、TLS v1.0 は、承認プロトコルではなくなりました。今後は無効になります。 暗号化スイートは、128 ビットまたは 256 ビット AES を使用して、ECDHE、ECDH、RSA を使用します。GCM モードをおすすめします。 詳細については、http://www.openssl.org/docs/apps/ciphers.html を参照してください。 これに相当する Windows レジストリの値は SSLCipherList です。 |
Configures Supported Groups Extension | サポートされている楕円曲線グループを設定します。コロンで区切られた曲線のリストを入力します。曲線名は大文字と小文字が区別されることをご注意ください。たとえば、P-256:P-384 とします。 このオプションが設定されず、ECDHE 暗号化スイートが指定された場合、デフォルト値は OpenSSL ライブラリでサポートされているすべての署名アルゴリズムになります。 |
||
Enable Single Sign-On for smart card authentication | X | スマート カード認証に対してシングル サインオンを有効にするかどうかを指定します。シングル サインオンを有効にすると、Horizon Clientは、スマート カードの暗号化された PIN を、一時的なメモリに格納してから Connection Server に送信します。シングル サインオンを無効にすると、Horizon Clientでカスタム PIN ダイアログ ボックスは表示されません。 これに相当する Windows レジストリの値は EnableSmartCardSSO です。 |
|
Do not check certificate revocation status | X | X | 証明書失効ステータスを確認するかどうかを決定します。この GPO を有効にすると、インターネット接続が制限されている場合など、サーバによって送信された証明書が失効しているか、証明書の失効チェックが不可能な場合でも、Horizon Client はサーバの証明書を有効として扱います。 デフォルトでは、この設定は無効になっています。
注: この設定を有効にすると、クライアントはサーバ証明書の検証中にキャッシュされた URL のみを使用することができます。キャッシュされた URL 情報のタイプには、CRL 配布ポイント (CDP) と機関情報アクセス(OCSP および CA 発行者のアクセス方法)があります。
|
Strict certification revocation check | 有効にすると、Horizon Client は、証明書の失効ステータスを確認できない場合にサーバへの接続を拒否します。この設定を無効にすると、クライアントは失効を確認しますが、失効ステータスに基づいて接続がブロックされることはありません。Do not check certificate revocation status GPO は、この GPO より優先されます。これらを一緒に使用しないでください。 デフォルトでは、この設定は無効になっています。 |
||
Unlock remote sessions when the client machine is unlocked | X | X | 再帰的なロック解除機能を有効にするかどうかを指定します。再帰的なロック解除機能を使用すると、クライアント マシンのロックが解除された後で、すべてのリモート セッションのロックを解除できます。この機能が適用されるのは、ユーザーが「現在のユーザーとしてログイン」機能を使用してサーバにログインした後です。 デフォルトでは、この設定は有効になっています。 |
以下の設定を確認するには、グループ ポリシー管理エディタで
フォルダの順に移動します。設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Allow NTLM Authentication | X | この設定を有効にすると、[現在のユーザーとしてログイン] 機能で NTLM 認証が許可されます。この設定を無効にすると、どのサーバでも NTLM 認証は使用されません。 この設定が有効になっている場合は、[Kerberos から NTLM へのフォールバックを許可] ドロップダウン メニューから [はい] または [なし] を選択できます。
この設定が行われていない場合、[サーバに NTLM を常に使用] グループ ポリシー設定にあるサーバに NTLM 認証が許可されます。 NTLM 認証を使用するには、サーバ SSL 証明書が有効である必要があります。また、Windows ポリシーで NTLM の使用を制限しないようにする必要があります。 Connection Server インスタンスで Kerberos から NTLM へのフォールバックを構成する方法については、『Horizon の概要と展開計画』ガイドの「Windows ベースの Horizon Client で使用可能な現在のユーザーとしてログイン機能」を参照してください。 |
|
Always use NTLM for servers | X | この設定を有効にすると、リストにあるサーバの [現在のユーザーとしてログイン] 機能で常に NTLM 認証が使用されます。サーバ リストを作成するには、[表示] をクリックして、[値] 列にサーバ名を入力します。サーバ名の形式は完全修飾ドメイン名 (FQDN) です。 |
クライアント GPO の RDP 設定
Microsoft RDP 表示プロトコルを使用すると、オーディオ、プリンタ、ポート、その他のデバイスなどのリダイレクトといったオプションに対してグループ ポリシーを設定できます。
次の表では、Horizon Client の設定 ADMX テンプレート ファイルにおけるリモート デスクトップ プロトコル (RDP) 設定について説明します。RDP の設定はすべてユーザーの設定です。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
設定 | 説明 |
---|---|
Audio redirection | リモート デスクトップで再生されるオーディオ情報をリダイレクトするかどうかを指定します。次のいずれかの設定を選択します。
この設定は RDP オーディオにのみ適用されます。MMR 経由でリダイレクトされたオーディオがクライアントで再生されます。 |
Enable audio capture redirection | デフォルトのオーディオ入力デバイスをクライアントからリモート セッションにリダイレクトするかどうかを指定します。この設定を有効にすると、クライアント上のオーディオ録音デバイスがリモート デスクトップに表示され、オーディオ入力を録音できるようになります。 デフォルトでは、この設定は無効になっています。 |
Bitmap cache file size in unit for number bpp bitmaps | 特定の bpp ビットマップ カラー設定で使用するビットマップ キャッシュのサイズを KB または MB 単位で指定します。 次の単位と bpp の組み合わせで、この設定の異なるバージョンが提供されています。
|
In-memory bitmap cache size in KB for 8bpp bitmaps | 8 bpp の色設定に使用する RAM ビットマップ キャッシュのサイズを KB 単位で指定します。ScaleBitmapCachesByBPP が true(デフォルト)の場合、このキャッシュ サイズに bpp を掛けた値から実際の RAM を決定します。 この設定が有効になっている場合には、サイズを KB 単位で入力します。 |
Bitmap caching/cache persistence active | 通常のビットマップ キャッシュを使用するかどうかを指定します(アクティブ)。通常のビットマップ キャッシュを使用するとパフォーマンスが向上する可能性がありますが、追加のディスク領域が必要になります。 |
Color depth | リモート デスクトップの色の深度を指定します。次のいずれかの設定を選択します。
|
Cursor shadow | リモート デスクトップでポインタの下にシャドウを表示するかどうかを指定します。 |
Desktop background | クライアントがリモート デスクトップに接続したときに、デスクトップの背景を表示するかどうかを指定します。 |
Desktop composition | リモート デスクトップでデスクトップ コンポジションを有効にするかどうかを指定します。 デスクトップ コンポジションを有効にすると、従来のバージョンの Microsoft Windows とは異なる描画方法が採用され、各ウィンドウ上のコンテンツは直接画面やプライマリ ディスプレイ デバイスに描画されません。その代わりに、描画はビデオ メモリのオフスクリーン サーフェスにリダイレクトされ、その後、デスクトップ イメージにレンダリングされ、ディスプレイに表示されます。 |
Enable compression | RDP データを圧縮するかどうかを指定します。デフォルトでは、この設定は有効になっています。 |
Enable RDP Auto-Reconnect | RDP プロトコル接続が失敗した後に RDP クライアント コンポーネントがリモート デスクトップへの再接続を試みるかどうかを指定します。この設定は、Horizon Console で [デスクトップへのアクセスにセキュアなトンネル接続を使用する] オプションが有効になっている場合は無効です。デフォルトでは、この設定は無効になっています。 |
Font smoothing | リモート デスクトップでフォントにアンチエイリアシングを適用するかどうかを指定します。 |
Menu and window animation | クライアントがリモート デスクトップに接続したときに、メニューとウィンドウのアニメーションを有効にするかどうかを指定します。 |
Redirect clipboard | クライアントがリモート デスクトップに接続したときに、ローカル クリップボード情報をリダイレクトするかどうかを指定します。 |
Redirect drives | クライアントがリモート デスクトップに接続したときに、ローカル ディスク ドライブをリダイレクトするかどうかを指定します。デフォルトでは、ローカル ドライブはリダイレクトされます。 この設定を有効にするか、または未構成のままにしておくと、リモート デスクトップ上のリダイレクトされたドライブ上のデータはクライアント コンピュータ上のドライブにコピーできます。リモート デスクトップからユーザーのクライアント コンピュータへのデータの受け渡しを許可することが潜在的なセキュリティ リスクとなる展開では、この設定を無効にします。別のアプローチとして、Microsoft Windows グループ ポリシー設定の Do not allow drive redirection を有効にすることによってリモート デスクトップ仮想マシンのフォルダ リダイレクトを無効にできます。 Redirect drives 設定は RDP にのみ適用されます。 |
Redirect printers | クライアントがリモート デスクトップに接続したときに、ローカル プリンタをリダイレクトするかどうかを指定します。 |
Redirect serial ports | クライアントがリモート デスクトップに接続したときに、ローカル COM ポートをリダイレクトするかどうかを指定します。 |
Redirect smart cards | クライアントがリモート デスクトップに接続したときに、ローカル スマート カードをリダイレクトするかどうかを指定します。
注: この設定は RDP 接続と PCoIP 接続の両方に適用されます。
|
Redirect supported plug-and-play devices | クライアントがリモート デスクトップに接続したときに、ローカル プラグアンドプレイおよび POS(販売時点情報管理)デバイスをリダイレクトするかどうかを指定します。この動作は、エージェントの USB リダイレクト コンポーネントが管理するリダイレクトとは異なります。 |
Shadow bitmaps | ビットマップにシャドウを表示するかどうかを指定します。この設定は、全画面表示モードでは無効です。 |
Show contents of window while dragging | ユーザーがフォルダを新しい場所までドラッグしたときに、フォルダの内容を表示するかどうかを指定します。 |
Themes | クライアントがリモート デスクトップに接続したときに、テーマを表示するかどうかを指定します。 |
Windows key combination redirection | Windows キーの組み合わせを適用する場所を指定します。 この設定により、リモート仮想マシンにキーの組み合わせを送信したり、キーの組み合わせをローカルに適用することができます。 デフォルトでは、キーの組み合わせはローカルに適用されます。 |
Enable Credential Security Service Provider | リモート デスクトップ接続がネットワーク レベル認証(NLA)を使用するかどうかを指定します。ゲスト OS でリモート デスクトップ接続に NLA が必要な場合は、この設定を有効にする必要があります。有効にしないと、Horizon Client はリモート デスクトップに接続できません。この設定を有効にするだけでなく、次の条件が満たされていることも確認する必要があります。
|
クライアント GPO の全般設定
全般設定には、プロキシ オプション、タイムゾーンの転送、マルチメディアのアクセラレーションおよびその他の表示設定が含まれます。
次の表では、Horizon Client の設定 ADMX テンプレート ファイルにおける全般設定について説明します。全般設定には、コンピュータの構成とユーザーの構成の両方の設定があります。ユーザーの設定は、対応するコンピュータの設定より優先されます。設定は、グループ ポリシー管理エディタの [VMware Horizon Client の設定] フォルダにあります。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Allow Blast connections to use operating system proxy settings | X | VMware Blast 接続にプロキシ サーバを使用するように設定します。 この設定を有効にすると、VMware Blast はプロキシ サーバ経由で接続できます。 この設定を無効にすると、VMware Blast はプロキシ サーバを使用できません。 この設定を指定しない場合(デフォルト)、ユーザーは Horizon Client ユーザー インターフェイスを使用して VMware Blast 接続でプロキシ サーバを使用できるかどうかを設定できます。VMware Blast オプションの構成を参照してください。 |
|
Allow data sharing | X | この設定を有効にすると、Horizon Client ユーザー インターフェイスのデータ共有モードの設定がオンに設定されます。エンド ユーザーはこの設定を変更できません。 この設定を無効にすると、Horizon Client ユーザー インターフェイスのデータ共有モードの設定がオフに設定されます。エンド ユーザーはこの設定を変更できません。 この設定が構成されていない場合(デフォルト)、エンド ユーザーは、Horizon Client ユーザー インターフェイスでデータ共有モードの設定を変更できます。 |
|
Allow display scaling | X | X | この設定を有効にすると、すべてのリモート デスクトップと公開アプリケーションでディスプレイのスケーリング機能が有効になります。 この設定を無効にすると、すべてのリモート デスクトップと公開アプリケーションでディスプレイのスケーリング機能が無効になります。 この設定が構成されていない場合(デフォルト設定)、エンド ユーザーは Horizon Client ユーザー インターフェイスでディスプレイのスケーリングを有効または無効にできます。 Horizon Client ユーザー インターフェイスで [ロックしたゲストのサイズ] グループ ポリシー設定を有効にして、ディスプレイのスケーリング設定を非表示にできます。 |
Allow H.264 Decoding | X | VMware Blast プロトコルに H.264 デコードを構成します。 この設定を有効にすると、H.264 デコードが優先オプションになります。 この設定を無効にすると、H.264 デコードは使用されません。 この設定が構成されていない場合、ユーザーは H.264 デコードを有効にするかどうか選択できます。VMware Blast オプションの構成を参照してください。 |
|
Allow H.264 high color accuracy | X | H.264 のハイカラー精度モードを構成します。 この設定は、H.264 デコードが有効になっている場合にのみ有効になります。 この設定が構成されていない場合、ユーザーは ハイカラー精度モードを有効にするかどうか選択できます。VMware Blast オプションの構成を参照してください。 |
|
Allow HEVC Decoding | X | VMware Blast プロトコルに HEVC(H.265)デコードを構成します。 この設定を有効にすると、HEVC デコードが優先オプションになります。 この設定を無効にすると、HEVC デコードは使用されません。 この設定が構成されていない場合、ユーザーは HEVC デコードを有効にするかどうか選択できます。VMware Blast オプションの構成を参照してください。 |
|
Allow user to skip Horizon Client update | X | ユーザーが Horizon Client のアップデート ウィンドウで [スキップ] ボタンをクリックできるかどうかを指定します。ユーザーが [スキップ] をクリックすると、次の Horizon Client バージョンが使用可能になるまで更新通知は表示されません。 | |
Always hide the remote floating language (IME) bar for Hosted Apps | X | X | アプリケーション セッションでフロート表示言語バーをオフに強制します。この設定を有効にすると、ローカルで IME 機能が有効かどうかにかかわらず、公開アプリケーション セッションでフローティング言語バーが必ず非表示になります。この設定を無効にすると、ローカルで IME 機能が無効になっている場合にのみ、フロート表示言語バーが表示されます。デフォルトでは、この設定は無効になっています。 |
Always on top | X | Horizon Client ウィンドウを常に最前面のウィンドウにするかどうかを決定します。この設定を有効にすると、全画面表示の Horizon Client ウィンドウが Windows タスクバーによって隠れることがなくなります。デフォルトでは、この設定は無効になっています。 | |
Automatic input focus in a virtual desktop window | X | X | この設定を有効にした場合、ユーザーがリモート デスクトップを前面に移動したときに、Horizon Client が入力をリモート デスクトップに自動的に送信します。つまり、ウィンドウのフレーム内にフォーカスが表示されません。ユーザーはリモート デスクトップのウィンドウ内をクリックしてフォーカスを移動する必要はありません。 |
Automatically check for updates | X | Horizon Client のソフトウェア アップデートの有無を自動的に確認するかどうかを指定します。この設定は、Horizon Client のアップデート ウィンドウでの [更新の確認とバッジ通知の表示] チェック ボックスの動作を制御します。デフォルトでは、この設定は有効になっています。 | |
Automatically install shortcuts when configured on the Horizon server | X | X | Connection Server インスタンスに公開アプリケーションおよびリモート デスクトップのショートカットが設定されている場合、この設定は、ユーザーがサーバに接続したときにクライアント マシンにショートカットがインストールされるかどうかを指定します。また、インストールの方法も指定します。 この設定を有効にすると、クライアント マシンにショートカットがインストールされます。ショートカットのインストールを確認するプロンプトは表示されません。 この設定を無効にすると、クライアント マシンにショートカットがインストールされません。ショートカットのインストールを確認するプロンプトは表示されません。 デフォルトでは、ショートカットはインストールされます。 |
Automatically synchronize the keypad, scroll and caps lock keys | X | この設定を有効にすると、Num Lock、Scroll Lock、Caps Lock キーの切り替え状態がクライアント デバイスからリモート デスクトップに同期されます。Horizon Client で、[キーパッド、スクロール、Caps Lock キーを自動的に同期する] チェック ボックスが選択され、この設定は淡色表示になります。 この設定を無効にすると、リモート デスクトップからクライアント デバイスにロック キーの切り替え状態が同期されます。Horizon Client で、[キーパッド、スクロール、Caps Lock キーを自動的に同期する] チェック ボックスの選択が解除され、この設定は淡色表示になります。 この設定を有効または無効にすると、ユーザーは、Horizon Client で [キーパッド、スクロール、Caps Lock キーを自動的に同期する] の設定を変更できません。 この設定が指定されていない場合、ユーザーは、Horizon Client で [キーパッド、スクロール、Caps Lock キーを自動的に同期する] を設定して、リモート デスクトップのロック キーの同期を有効または無効にできます。ロック キーの同期の構成を参照してください。 デフォルトでは、この設定は構成されていません。 |
|
Block multiple Horizon Client instances per Windows session | X | Windows セッションで、複数の Horizon Client インスタンスを起動できないようにします。 この設定を有効にすると、Horizon Client は単一インスタンス モードで動作するため、Windows セッションでは複数の Horizon Client インスタンスを起動できなくなります。 この設定を無効にすると、Windows セッションで複数の Horizon Client インスタンスを起動できるようになります。デフォルトでは、この設定は無効になっています。 |
|
Client behavior when all sessions are disconnected | X | X | すべてのセッションが切断されたときのクライアントの動作をカスタマイズします。すべてのセッションが切断されたときに、クライアントを終了したり、Connection Server からログオフするように構成できます。また、現在の状態を維持するように構成することもできます。 この設定が構成されていない場合、クライアントはデフォルトの方法で動作します。 |
Configure maximum latency for mouse coalescing | X | マウスの移動イベントを一体化する際に許容される最大遅延時間をミリ秒単位で設定します。有効な値は 0 ~ 50 です。値に 0 を指定すると、この機能は無効になります。 マウス移動イベントを一体化すると、クライアントとエージェントの間のバンド幅の使用量が少なくなりますが、マウスの動きが少し遅れる可能性があります。 デフォルトでは、この設定は無効になっています。 |
|
Custom error screen footer | X | Horizon Client のすべてのエラー メッセージの下部にカスタム ヘルプ テキストを追加できます。ヘルプ テキストは、ローカル クライアント システムのプレーン テキスト ファイル (.txt ) に指定する必要があります。テキスト ファイルは 2,048 文字以下にする必要があります(制御文字を含む)。ANSI と Unicode の両方のエンコーディングがサポートされています。 この設定を有効にする場合は、カスタム ヘルプ テキストを含むファイルのフル パスをテキスト ボックスに指定します(例: C:\myDocs\errorFooter.txt)。 デフォルトでは、この設定は無効になっています。 |
|
Default value of the "Hide the selector after launching an item" check box | X | X | [アイテムの起動後にセレクタを非表示] チェック ボックスをデフォルトで選択するかどうかを設定します。デフォルトでは、この設定は無効になっています。 |
Disable desktop disconnect messages | X | X | 通常、リモート デスクトップの切断時に表示されるメッセージを無効にするかどうかを指定します。これらのメッセージはデフォルトで表示されます。 |
Disable sharing files and folders | X | クライアント ドライブのリダイレクト機能を Horizon Client で使用できるようにするかどうかを指定します。 この設定を有効にすると、公開アプリケーションでローカル ファイルを開く機能を含め、Horizon Client のクライアント ドライブ リダイレクト機能がすべて無効になります。また、次の要素が Horizon Client のユーザー インターフェイスに表示されなくなります。
この設定を無効にすると、クライアント ドライブのリダイレクト機能が完全に機能します。デフォルトでは、この設定は無効になっています。 |
|
Disable time zone forwarding | X | リモート デスクトップおよび接続されたクライアント間のタイム ゾーンの同期を無効にするかどうかを指定します。 | |
Disable toast notifications | X | X | Horizon Client からのトースト通知を無効にするかどうかを決定します。 画面の端にトースト通知を表示しないようにするには、この設定を有効にします。
注: この設定を有効にすると、セッション タイムアウト機能がアクティブになったときに 5 分間の警告がユーザーに表示されません。
|
Disallow passing through client information in a nested session | X | Horizon Client で、クライアント情報がネストされたセッションを通過しないようにするかを指定します。有効にした場合は、Horizon Client がリモート セッションの内部で実行されていれば、仮想マシンのデバイス情報ではなく実際の物理クライアント情報を送信します。この設定は、クライアント情報(デバイス名とドメイン、クライアント タイプ、IP アドレス、および MAC アドレス)に適用されます。この設定はデフォルトで無効になっており、クライアント情報がネストされたセッションを通過することを許可します。 | |
Display modifier function key | X | X | ユーザーが使用できるスイッチ修飾子とファンクション キーの組み合わせを指定します。ユーザーがこのキーの組み合わせを押すと、PCoIP または VMware Blast リモート デスクトップ セッションで入力が有効になったときに、クライアント マシンの表示設定が変更されます。 この設定が構成されていない場合(デフォルト)、エンド ユーザーは、マウスを使用してリモート デスクトップを解放し、Windows ロゴ キー + P を押してプレゼンテーションの表示モードを選択する必要があります。 この設定は、公開アプリケーションのセッションに適用されません。 |
Disable opening local files in hosted applications | X | ホスト型アプリケーションがサポートするファイル拡張子のローカル ハンドラを Horizon Client が登録するかどうかを指定します。 この設定を有効にすると、Horizon Client は、ファイル拡張子ハンドラを登録せず、ユーザーが設定をオーバーライドすることを許可しません。 この設定を無効にすると、Horizon Client はファイル拡張子ハンドラを常に登録します。デフォルトでは、ファイル拡張子ハンドラは登録されますが、ユーザーは、[設定] ダイアログ ボックスの [共有] パネルにある [ローカル ファイル システムからリモート アプリケーションを使用してローカル ファイルを開く機能を有効にする] 設定を使用して、Horizon Client ユーザー インターフェイスでこの機能を無効にできます。詳細については、ローカル フォルダとドライブの共有を参照してください。 デフォルトでは、この設定は無効になっています。 |
|
Don't check monitor alignment on spanning | X | デフォルトでは、画面を組み合わせたときに正確な長方形にならない場合、クライアント デスクトップは複数のモニターをスパンしません。この設定を有効にすると、デフォルトが上書きされます。デフォルトでは、この設定は無効になっています。 | |
Enable multi-media acceleration | X | クライアントでマルチメディア リダイレクト(MMR)を有効にするかどうかを指定します。 Horizon Client のビデオ ディスプレイ ハードウェアでオーバーレイがサポートされていない場合は、MMR が正しく機能しません。 |
|
Enable relative mouse | X | X | PCoIP 表示プロトコルを使用する場合に、相対マウスを有効にします。相対マウスモードにより、特定のグラフィックス アプリケーションやゲームでマウスの動作が改善されます。リモート デスクトップで相対マウスがサポートされていない場合、この設定は使用されません。デフォルトでは、この設定は無効になっています。 |
Enable the shade | X | Horizon Client ウィンドウの最上部にあるシェード メニュー バーを表示するかどうかを指定します。デフォルトでは、この設定は有効になっています。
注: キオスク モードでは、シェード メニュー バーがデフォルトで無効にされます。
|
|
Enable Horizon Client online update | X | オンライン アップデート機能を有効にします。デフォルトでは、この設定は有効になっています。
注: コマンドラインから
Horizon Client をインストールする場合は、
AUTO_UPDATE_ENABLED プロパティを 0 に設定するとオンライン アップデート機能を無効にできます。詳細については、
コマンド ラインからの Horizon Client のインストールを参照してください。
|
|
Enable Split Mks Window | X | この設定は、Cisco WebEx や Zoom などのユニファイド コミュニケーション (UC) アプリケーションで Horizon Client 2106 for Windows 以降を使用するときに発生するマルチモニタ表示の問題に対する一時的な回避策を提供します。デフォルトでは、この設定は有効になっています。 UC ベンダーが表示の問題を修正するアプリケーションの更新をまだ提供していない場合は、この設定を無効にして一時的な回避策を実行できます。この設定を無効にすると、デフォルトのウィンドウ階層がオフになり、マルチモニタ設定のすべてのモニターの境界ボックスに関連してウィンドウが表示されます。詳細については、VMware ナレッジベースの記事 KB85400 を参照してください。
注: この回避策は、表示の問題を永続的に修正する最新バージョンの UC アプリケーションをインストールするまでの一時的な修正としてのみ使用してください。更新された UC アプリケーションをインストールしたら、GPO からこの設定を有効にして、デフォルトのウィンドウ階層を再度オンにします。
|
|
Hide items in application context menu | X | X | この設定を使用すると、デスクトップとアプリケーションのセレクタ ウィンドウで公開アプリケーションを右クリックしたときにコンテキスト メニューに表示しない項目を選択できます。 この設定を有効にすると、次のオプションを設定できます。
デフォルトでは、この設定は無効になっています。 |
Hide items in desktop context menu | X | X | この設定を使用すると、デスクトップとアプリケーションのセレクタ ウィンドウでリモート デスクトップを右クリックしたときにコンテキスト メニューに表示しない項目を選択できます。 この設定を有効にすると、次のオプションを設定できます。
デフォルトでは、この設定は無効になっています。 |
Hide items in desktop toolbar | X | X | この設定を使用すると、リモート デスクトップ ウィンドウのメニュー バーに表示しない項目を選択できます。
この設定を有効にすると、次のオプションを設定できます。
デフォルトでは、この設定は無効になっています。 |
Hide items in system tray menu | X | X | この設定を使用すると、ローカル クライアント システムでシステム トレイの Horizon Client アイコンを右クリックしたときにコンテキスト メニューに表示しない項目を選択できます。 この設定を有効にすると、次のオプションを設定できます。
デフォルトでは、この設定は無効になっています。 |
Hide items in the client toolbar menu | X | X | この設定を使用すると、デスクトップとアプリケーションのセレクタ ウィンドウで上部のツールバーに表示しない項目を選択できます。 この設定を有効にすると、次のオプションを設定できます。
デフォルトでは、この設定は無効になっています。 |
Hotkey combination to grab input focus | X | X | 最後に使用した PCoIP または VMware Blast リモート デスクトップ セッションの入力フォーカスを取得するホット キーの組み合わせを設定します。ホット キーは、1 つまたは 2 つの修飾子キーと 1 つの文字キーで構成されます。 この設定が無効になっているか、使用されていない場合、ユーザーはリモート デスクトップ ウィンドウの内側をクリックしてフォーカスを有効にできます。デフォルトでは、この設定は構成されていません。 |
Hotkey combination to release input focus | X | X | PCoIP または VMware Blast リモート デスクトップ セッションの入力フォーカスを解放するホット キーの組み合わせを設定します。ホット キーは、1 つまたは 2 つの修飾子キーと 1 つのファンクション キーで構成されます。 [入力フォーカスの解除後に全画面表示の仮想デスクトップを最小化] チェック ボックスが選択されている場合、リモート デスクトップが全画面表示モードのときに、入力フォーカスの解除用に構成されているホット キー(Ctrl + Shift + F5 など)を押すと、リモート デスクトップ ウィンドウを最小化できます。デフォルトでは、デスクトップが構成なしで全画面表示モードになっているときに Ctrl + Shift + F5 を押すと、リモート デスクトップ ウィンドウが最小化されます。 この設定が無効になっているか、使用されていない場合、ユーザーは Ctrl + Alt を押すか、デスクトップ ウィンドウの外側をクリックしてフォーカスを解放できます。 デフォルトでは、この設定は構成されていません。 |
Pin the shade | X | Horizon Client ウィンドウの最上部にあるシェードの固定を有効にして、メニュー バーの自動非表示が行われないようにするかどうかを指定します。シェードが無効になっている場合、この設定の効果はありません。デフォルトでは、この設定は有効になっています。 | |
Save resolution and DPI to server | X | Horizon Client がカスタム ディスプレイの解像度とディスプレイ スケーリングの設定を保存するかどうかを設定します。リモート デスクトップのディスプレイ解像度とディスプレイ スケーリングの設定をカスタマイズする方法については、リモート デスクトップのディスプレイの解像度とスケーリングのカスタマイズを参照してください。 この設定が有効で、ディスプレイの解像度またはスケーリングがリモート デスクトップ用にカスタマイズされている場合、リモート デスクトップへのログインで使用されるクライアント デバイスに関係なく、ユーザーがリモート デスクトップを開くたびにカスタム設定が自動的に適用されます。 デフォルトでは、この設定は無効になっています。 |
|
Tunnel proxy bypass address list | X | トンネル アドレスのリストを指定します。これらのアドレスにはプロキシ サーバは使用されません。複数のエントリを区切るにはセミコロン(;)を使用します。 | |
Update message pop-up | X | 新しいバージョンの Horizon Client が利用可能になったときに、エンド ユーザーにアップデートのポップアップ メッセージを自動的に表示するかどうかを指定します。この設定は、Horizon Client のアップデート ウィンドウでの [更新がある場合にポップアップ メッセージを表示] チェック ボックスの動作を制御します。デフォルトでは、この設定は無効になっています。 | |
URL for Horizon Client online help | X | Horizon Client がヘルプ ページを取得できる代替 URL を指定します。この設定は、インターネットにアクセスできないためにリモートでホストされているヘルプ システムを取得できない環境で使用するためのものです。 | |
URL for Horizon Client online update | X | Horizon Client がアップデートを取得できる代替 URL を指定します。この設定は、独自のプライベート/個人のアップデート センターを定義する環境で使用するためのものです。有効でない場合、VMware の公式アップデート サーバが使用されます。 |
クライアント GPO の USB 設定
Horizon Agent と Horizon Client で USB ポリシー設定を定義できます。接続すると、Horizon Client が Horizon Agent から USB ポリシーの設定と Horizon Client USB ポリシーの設定をダウンロードし、ホスト マシンからのリダイレクトに使用可能なデバイスを特定します。
次の表で、Horizon Client の構成 ADMX テンプレート ファイル内にある、複合 USB デバイスの分割に関する各ポリシー設定について説明します。設定はコンピュータ レベルで適用されます。コンピュータ レベルでの GPO の設定は、レジストリの HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB よりも優先されます。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
USB リダイレクトを制御するポリシーの使用方法については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。
設定 | 説明 |
---|---|
Allow Auto Device Splitting | 複合 USB デバイスの自動分割を許可します。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 |
Exclude Vid/Pid Device From Split | ベンダーおよびプロダクト ID で指定された複合 USB デバイスは、分割対象から除外します。設定の形式: vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。 例: vid-0781_pid-55** デフォルト値は定義されていません。 |
Split Vid/Pid Device | ベンダーおよびプロダクト ID で指定した複合 USB デバイスのコンポーネントを、別のデバイスとして扱います。設定の形式: vid-xxxx_pid-yyyy(exintf:zz[;exintf:ww ]) exintf というキーワードを使用すれば、インターフェイス番号を指定することで、コンポーネントをリダイレクトから除外することができます。ID 番号は 16 進数で指定し、インターフェイス番号は先行ゼロをすべて含む 10 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。 例: vid-0781_pid-554c(exintf:01;exintf:02)
注: 明示的に除外しなかったコンポーネントは、Horizon で自動的に含まれることはありません。これらのコンポーネントを含めるには、
Include Vid/Pid Device などのフィルタ ポリシーを指定する必要があります。
デフォルト値は定義されていません。 |
次の表では、USB デバイスのフィルリングに使用する Horizon Client の設定 ADMX テンプレート ファイルのポリシー設定について説明します。設定はコンピュータ レベルで適用されます。コンピュータ レベルでの GPO の設定は、レジストリの HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB よりも優先されます。
USB リダイレクトにフィルター ポリシーの設定方法については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。
設定 | 説明 |
---|---|
Allow Audio Input Devices | オーディオ入力デバイスのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Audio Output Devices | オーディオ出力デバイスのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow HID-Bootable | キーボードとマウス以外で、起動時に利用可能な入力デバイス(起動可能なデバイス)のリダイレクトを許可します。 デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Device Descriptor Failsafe Behavior | Horizon Client で構成/デバイスの記述子を取得できない場合でも、デバイスのリダイレクトを許可します。 config/desc が失敗してもデバイスを許可するには、IncludeVidPidまたは IncludePath などの Include フィルタにそれを含みます。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Other Input Devices | HID 起動可能なデバイスや統合型ポインティング デバイス付きキーボード以外の入力デバイスのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Keyboard and Mouse Devices | 統合型ポインティング デバイス(マウス、トラックボール、タッチ パッドなど)付きキーボードのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Smart Cards | スマート カード デバイスのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Allow Video Devices | ビデオ デバイスのリダイレクトを許可します。 デフォルト値は定義されていませんが、これは true が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Disable Remote Configuration | USB デバイスのフィルタリングを実行するときは、エージェント設定の使用を無効にします。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Exclude All Devices | リダイレクト対象からすべての USB デバイスを除外します。true に設定すると、その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるようにすることができます。false に設定すると、その他のポリシー設定を使用して、特定のデバイスまたはデバイス ファミリがリダイレクトされるのを防止できます。 エージェントで Exclude All Devicesの値を true に設定し、この設定が Horizon Client に渡されると、エージェントの設定によって Horizon Client の設定はオーバーライドされます。 デフォルト値は定義されていませんが、これは false が設定されている場合に相当します。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Exclude Automatically Connection Device Family | 転送対象からデバイス ファミリを自動的に除外します。次の構文を使用します:family-name[;...] 例: storage;hid |
Exclude Automatically Connection Vid/Pid Device | 特定のベンダーとプロダクト ID のデバイスを転送対象から自動的に除外します。次の構文を使用します:vid-xxxx_pid-xxxx|*[;...] 例: vid-0781_pid-554c;vid-0781_pid-9999 |
Exclude Device Family | リダイレクト対象からデバイス ファミリを除外します。設定の形式: family_name_1[;family_name_2]... 例: bluetooth;smart-card 自動デバイス分割を有効にした場合、Horizon は複合 USB デバイスの各インターフェイスのデバイス ファミリを調べ、除外するインターフェイスを判断します。自動デバイス分割を無効にした場合、Horizon は複合 USB デバイス全体のデバイス ファミリを調べます。 デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Exclude Vid/Pid Device | 特定のベンダーとプロダクト ID のデバイスをリダイレクト対象から除外します。設定の形式: vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。 例: vid-0781_pid-****;vid-0561_pid-554c デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Exclude Path | 特定のハブまたはポートのパスにあるデバイスをリダイレクト対象から除外します。設定の形式: bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]... バスやポート番号は 16 進数で指定する必要があります。パスにワイルドカード文字を使用することはできません。 例: bus-1/2/3_port-02;bus-1/1/1/4_port-ff デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Include Device Family | デバイス ファミリをリダイレクト対象に含めます。設定の形式: family_name_1[;family_name_2]... 例: storage デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Include Path | 特定のハブやポートのパスにあるデバイスをリダイレクト対象に含めます。設定の形式: bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]... バスやポート番号は 16 進数で指定する必要があります。パスにワイルドカード文字を使用することはできません。 例: bus-1/2_port-02;bus-1/7/1/4_port-0f デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
Include Vid/Pid Device | 特定のベンダー ID とプロダクト ID を持ち、リダイレクト可能な USB デバイスを指定します。設定の形式: vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... ID 番号は 16 進数で指定する必要があります。ID の個々の数字の位置にワイルドカード文字 ( *) を使用できます。 例: vid-0561_pid-554c デフォルト値は定義されていません。 設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。 |
ネスト モードまたはダブルホップ シナリオの場合、ユーザーは物理クライアント システムからリモート デスクトップに接続して、リモート デスクトップ(ネストされたセッション)内で Horizon Client を起動し、別のリモート デスクトップに接続します。ネストされたセッションでデバイスを期待どおり動作させるには、物理的なクライアント マシンとネストされたセッションの両方で、USB ポリシーを設定する必要があります。
クライアント GPO の VMware Browser リダイレクト設定
ブラウザ リダイレクト機能にグループ ポリシーを設定できます。
次の表では、Horizon Client の構成 ADMX テンプレート ファイルにおけるブラウザ リダイレクトの設定について説明します。ブラウザ リダイレクトの設定はすべてコンピュータの構成の設定です。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
エージェント側のブラウザ リダイレクトの設定については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。
設定 | 説明 |
---|---|
Enable WebRTC camera and microphone access for browser redirection | この設定を有効にすると、WebRTC を使用するページにリダイレクトされます。このページでは、クライアント システムのカメラとマイクにアクセスできます。 デフォルトでは、この設定は有効になっています。 |
Ignore certificate errors for browser redirection | この設定を有効にすると、リダイレクトされたページで発生した証明書エラーは無視され、閲覧を続行できます。 デフォルトでは、この設定は無効になっています。 |
Enable cache for browser redirection | この設定を有効にすると、Cookie を含む閲覧履歴がクライアント システムに保存されます。
注: この設定を無効にしても、キャッシュはクリアされません。この設定を無効にしてから再度有効にすると、キャッシュが再利用されます。
デフォルトでは、この設定は有効になっています。 |
クライアント GPO の VMware Integrated Printing 設定
VMware Integrated Printing 機能にグループ ポリシー設定を構成できます。
次の表では、Horizon Client の構成 ADMX テンプレート ファイルの VMware Integrated Printing の設定について説明します。この表では、設定に含まれているのがコンピュータ構成とユーザー設定の両方か、コンピュータ構成だけかを示しています。両タイプの設定を含む場合、ユーザー設定の方が、同等のコンピュータ設定よりも優先されます。設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
エージェント側の VMware Integrated Printing 機能の詳細については、『Horizon リモート デスクトップの機能と GPO』ドキュメントを参照してください。
設定 | コンピュータ | ユーザー | 説明 |
---|---|---|---|
Do not redirect client printer(s) | X | X | クライアント プリンタをリダイレクトするかどうかを決定します。 この設定を有効にすると、クライアント プリンタはリダイレクトされません。この設定を無効にするか、構成しない場合、すべてのクライアント プリンタがリダイレクトされます。 デフォルトでは、この設定は構成されていません。 |
Allow to redirect L1 local printers to inner session | X | X | L1 ローカル プリンタを内部セッションにリダイレクトするかどうかを指定します。 VMware は、リモート デスクトップ内での Horizon Client の実行をサポートします。この構成は、一般にネスト モードといい、次のように 3 つのレイヤーと 2 つのホップが関係します。
この設定を有効にした場合、L1 ローカル プリンタが内部セッションにリダイレクトされます。この設定を行わないか、無効にした場合、L1 ローカル プリンタは内部セッションにリダイレクトされません。 デフォルトでは、この設定は構成されていません。 |
PCoIP クライアントのセッション変数 ADMX テンプレートの設定
PCoIP クライアントのセッション変数 ADMX テンプレート ファイル (pcoip.client.admx) には、PCoIP 表示プロトコルに関連するポリシー設定が含まれています。管理者がオーバーライドできるコンピュータのデフォルト値を設定できます。あるいは、管理者がオーバーライドできないユーザー設定を行うこともできます。オーバーライドできる設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。オーバーライドできない設定を確認するには、グループ ポリシー管理エディタで フォルダの順に移動します。
ADMX ファイルは、VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip に含まれています。このファイルは、VMware ダウンロード サイトからダウンロードできます。https://my.vmware.com/web/vmware/downloadsをご覧ください。[デスクトップおよびエンドユーザー コンピューティング] を探し、このカテゴリで VMware Horizon の [製品のダウンロード] を選択します。適切な Horizon バージョンを選択して、[ダウンロードする] をクリックします。ここから、VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip ファイルを含む Horizon GPO バンドルを見つけることができます。
設定 | 説明 |
---|---|
Configure PCoIP client image cache size policy | PCoIP クライアントのイメージ キャッシュのサイズを制御します。クライアントは、イメージ キャッシュを使用して以前に送信された表示の一部を保存します。イメージ キャッシュにより、再送されるデータ量が削減されます。 この設定を無効にすると、PCoIP はクライアント イメージ キャッシュのデフォルト サイズ、250MB を使用します。 この設定を有効にすると、クライアントのイメージ キャッシュサイズを最小 50MB から最大 300MB まで構成できます。デフォルト値は 250 MB です。 デフォルトでは、この設定は無効になっています。 |
Configure PCoIP event log cleanup by size in MB | サイズ (MB) に基づく PCoIP イベント ログ クリーンアップの構成を有効にします。この設定が構成されている場合、サイズ(MB 単位)でログ ファイルのクリーンアップが制御されます。たとえば、m がゼロ以外に設定されている場合は、サイズが m MB より大きいログ ファイルが自動的に削除されます。0 に設定されている場合、サイズに基づくファイルのクリーンアップは行われません。この設定を無効にすると、サイズ (MB) に基づくイベント ログ クリーンアップのデフォルト値は 100 になります。デフォルトでは、この設定は無効になっています。 |
Configure PCoIP event log cleanup by time in days | 時間(日数)に基づく PCoIP イベント ログ クリーンアップの構成を有効にします。この設定が構成されている場合、日数でログ ファイルのクリーンアップが制御されます。たとえば、n がゼロ以外に設定されている場合は、日数が n 日より長いログ ファイルが自動的に削除されます。0 に設定されている場合は、時間に基づくファイルのクリーンアップは行われません。このポリシーを無効にすると、時間(日数)に基づくイベント ログ クリーンアップのデフォルト値は 7 になります。デフォルトでは、この設定は無効になっています。 ログ ファイルのクリーンアップは、セッションの開始時に 1 回実行されます。設定の変更は、次のセッションまで適用されません。 |
Configure PCoIP event log verbosity | PCoIP イベント ログの冗長性を設定します。この値は、0(最も簡素)から 3(最も詳細)です。 この設定を有効にする場合、冗長性のレベルを 0 から 3 の範囲で設定できます。設定を無効にすると、デフォルトのイベント ログの冗長性レベルは 2 になります。デフォルトでは、この設定は無効になっています。 この設定をアクティブ PCoIP セッション中に変更すると、新しい設定が直ちに反映されます。 |
Configure PCoIP session encryption algorithms | セッション ネゴシエーション中に PCoIP エンドポイントによってアドバタイズされる暗号化アルゴリズムを制御します。 いずれかのチェック ボックスを選択すると、関連付けられた暗号化アルゴリズムが無効になります。1 つ以上のアルゴリズムを有効にする必要があります。 この設定はエージェントとクライアントの両方に適用されます。エンドポイントは、使用される実際のセッション暗号化アルゴリズムをネゴシエートします。FIPS140-2 承認モードが有効であると、AES-128-GCM 暗号化と AES-256-GCM 暗号化の両方が無効である場合に、[AES-128-GCM 暗号化を無効にする] の値がオーバーライドされます。 Configure SSL Connections 設定を無効にすると、このエンドポイントによるネゴシエーションに Salsa20-256round12 と AES-128-GCM の両方のアルゴリズムを使用できます。デフォルトでは、この設定は無効になっています。 サポートされている暗号化アルゴリズムは、SALSA20/12-256、AES-GCM-128、AES-GCM-256(優先順位順)です。デフォルトでは、サポートされているすべての暗号化アルゴリズムを、このエンドポイントのネゴシエーションに使用できます。 |
Configure PCoIP virtual channels | PCoIP セッションで動作できる仮想チャネルと動作できない仮想チャネルを指定します。この設定によって、PCoIP ホスト上でのクリップボードの処理を無効にするかどうかも指定されます。 PCoIP セッションで使用される仮想チャネルは、許可仮想チャネルリストに表示されている必要があります。不許可仮想チャネル リストに表示されている仮想チャネルは、PCoIP セッションでは使用できません。 PCoIP セッションで使用する仮想チャネルを 15 まで指定できます。 複数のチャネル名は縦棒(|)文字で区切ります。たとえば、mksvchan と vdp_rdpvcbridge の仮想チャネル許可文字列は、mksvchan|vdp_rdpvcbridge です。 チャネル名に縦棒文字またはバックスラッシュ(\)文字が含まれる場合は、その前にバックスラッシュ文字を入れてください。たとえば、チャネル名 awk|ward\channel は awk\|ward\\channel として入力します。 許可仮想チャネル リストが空の場合は、すべての仮想チャネルが禁止されます。不許可仮想チャネル リストが空の場合は、すべての仮想チャネルが許可されます。 仮想チャネルの設定はエージェントとクライアントの両方に適用されます。仮想チャネルを使用するには、エージェントとクライアントの両方で仮想チャネルを有効にする必要があります。 仮想チャネルの設定には、PCoIP ホスト上でのクリップボードのリモート処理を無効にできるチェック ボックスが別にあります。この値はエージェントにのみ適用されます。 デフォルトでは、クリップボードの処理を含め、すべての仮想チャネルが有効です。 |
Configure SSL cipher list | TLS/SSL 暗号化接続を確立する前に、暗号の使用を制限する TLS/SSL 暗号リストを設定します。このリストは、コロンで区切られた 1 つ以上の暗号文字列で構成されています。すべての暗号文字列は、大文字と小文字が区別されません。 デフォルトの値は、ECDHE-RSA-AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:@STRENGTH です。 この設定を使用した場合、Configure SSL connections to satisfy Security Tools 設定の [SSL 接続ネゴシエーションに AES-256 以上の暗号を強制する] チェックボックスは無視されます。 この設定は、PCoIP Server と PCoIP クライアントの両方に適用する必要があります。 |
Configure SSL connections to satisfy Security Tools | TLS セッションのネゴシエーション接続の確立方法を指定します。ポート スキャナなどのセキュリティ ツールの要件を満たすには、この設定を有効にして、次の操作を行います。
この設定を無効にすると、AES-128 暗号化スイートは使用できなくなるため、エンドポイントはマシン アカウントの MY ストアにある認証局の証明書、および ROOT ストアにある認証局の証明書を使用します。デフォルトでは、この設定は無効になっています。 |
Configure SSL protocols | TLS 暗号化接続を確立する前に、特定の暗号化プロトコルの使用を制限するように、OpenSSL プロトコルを構成します。プロトコル リストは、コロンで区切られた 1 つ以上の OpenSSL プロトコル文字列で構成されています。すべての暗号文字列は、大文字と小文字が区別されません。 デフォルト値は TLS1.1:TLS1.2 です。これは、TLS v1.1 と TLS v1.2 が有効で、SSL v2.0、SSLv3.0、TLS v1.0 が無効であることを意味します。 この設定がクライアントとエージェントの両方に指定されている場合、OpenSSL プロトコルのネゴシエーション ルールが使用されます。 |
Configure the Client PCoIP UDP port | ソフトウェア PCoIP クライアントによって使用される UDP クライアント ポートを指定します。UDP ポートの値によって、使用されるベース UDP ポートが指定されます。ベース ポートが使用できない場合、UDP ポート範囲の値により、試行する追加ポートの数が決まります。 この範囲は、ベース ポートから、ベース ポートにポート範囲を加えた数値までになります。たとえば、ベース ポートが 50002 でポート範囲が 64 の場合、範囲は 50002 から 50066 までになります。 この設定はクライアントにのみ適用されます。 デフォルトでは、ベース ポートは 50002、ポート範囲は 64 です。 |
Configure the maximum PCoIP session bandwidth | PCoIP セッションの最大バンド幅をキロビット/秒単位で指定します。このバンド幅には、イメージ、オーディオ、仮想チャネル、USB、および制御 PCoIP のすべてのトラフィックが含まれます。 この値を、想定される同時並行の PCoIP セッションの数を考慮に入れたうえで、エンドポイントが接続されるリンクの合計容量に設定します。たとえば、4 メガビット/秒のインターネット接続を介して接続される単一ユーザーの VDI 構成(単一の PCoIP セッション)では、他のネットワーク トラフィックのための余地を確保するためにこの値を 4 メガビット、またはそれから 10% 引いた値に設定します。複数の VDI ユーザーまたは RDS 構成のいずれかで構成される、複数の同時並行 PCoIP セッションでリンクを共有することを想定している場合には、設定を適宜調整することを推奨します。ただし、この値を低くすると、各アクティブ セッションの最大バンド幅が制限されます。 この値を設定すると、エージェントがリンク容量よりも高い速度での送信を試行して、過剰なパケット損失が発生したり、ユーザーの操作性が低下したりすることがなくなります。この値は対称型です。クライアント側とエージェント側で設定されている 2 つの値のうち、小さい方の値がクライアントとエージェントで強制的に使用されます。たとえば、最大バンド幅を 4 メガビット/秒に設定すると、それがクライアント側で行われた設定でも、エージェントは強制的にそれ以下の速度で送信するようになります。 この設定をエンドポイントで無効にすると、エンドポイントはバンド幅を制限しなくなります。この設定を有効にすると、その設定値がエンドポイントの最大バンド幅制限としてキロビット/秒単位で使用されます。 デフォルト値は 900000 キロビット/秒です。 この設定はエージェントとクライアントに適用されます。2 つのエンドポイントの設定が異なる場合は、小さい方の値が使用されます。 |
Configure the PCoIP session bandwidth floor | PCoIP セッションによって予約されるバンド幅の下限をキロバイト/秒単位で指定します。 この設定では、エンドポイントのバンド幅で期待される最小送信速度が構成されます。この設定を使用してエンドポイントのバンド幅を予約すると、ユーザーはバンド幅が使用可能になるまで待つ必要がなくなるため、セッションの応答性が向上します。 すべてのエンドポイントの合計予約バンド幅を過剰にサブスクライブしないように注意してください。また、構成内の全接続のバンド幅下限の合計がネットワークの容量を超えないように注意してください。 デフォルト値は 0 です。これは、最小バンド幅が予約されないことを意味します。この設定を無効にすると、最小バンド幅は予約されません。デフォルトでは、この設定は無効になっています。 この設定はエージェントとクライアントに適用されますが、構成されたエンドポイントにのみ影響します。 この設定をアクティブ PCoIP セッション中に変更すると、変更が直ちに反映されます。 |
Configure the PCoIP session MTU | PCoIP セッションでの UDP パケットの最大転送ユニット(MTU)サイズを指定します。 この MTU サイズには、IP および UDP のパケット ヘッダーが含まれます。TCP は、標準の MTU 検出メカニズムを使用して MTU を設定します。この設定の影響はありません。 最大 MTU サイズは 1500 バイトです。最小 MTU サイズは 500 バイトです。デフォルト値は 1300 バイトです。 通常、MTU サイズを変更する必要はありません。PCoIP パケットの断片化の原因となる、通常と異なるネットワーク設定を使用する場合は、この値を変更してください。 この設定はエージェントとクライアントに適用されます。2 つのエンドポイントの MTU サイズ設定が異なる場合は、小さい方のサイズが使用されます。 この設定を無効にするか、構成しない場合、クライアントではエージェントとのネゴシエーションにデフォルト値が使用されます。 |
Configure the PCoIP transport header | PCoIP 転送ヘッダを構成し、転送セッションの優先度を設定します。 PCoIP 転送ヘッダーは、すべての PCoIP UDP パケットに追加される 32 ビット ヘッダーです(転送ヘッダーが有効にされ、両側でサポートされる場合に限ります)。PCoIP 転送ヘッダによって、ネットワーク デバイスは、ネットワークの輻輳を処理するときに、より良い優先順位/QoS 決定を行うことができます。デフォルトでは、転送ヘッダは有効になっています。 転送セッションの優先度は、PCoIP 転送ヘッダで報告される PCoIP セッション優先度を決定します。ネットワーク デバイスは、指定した転送セッション優先度に基づいてより良い優先順位/QoS 決定を行います。 Configure the PCoIP transport header 設定を有効にすると、以下の転送セッション優先度が使用できるようになります。
PCoIP エージェントとクライアントは、転送セッション優先度の値をネゴシエートします。PCoIP エージェントが転送セッション優先度値を指定する場合、セッションはエージェントが指定したセッション優先度を使用します。クライアントだけが転送セッション優先度を指定した場合、セッションはクライアントが指定したセッション優先度を使用します。エージェントとクライアントのどちらもが転送セッション優先度を指定しなければ、または[未定義の優先度] が指定された場合、セッションはデフォルト値である [中] 優先度を使用します。 |
Enable/disable audio in the PCoIP session | PCoIP セッションでオーディオを有効にするかどうかを指定します。両方のエンドポイントでオーディオが有効になっている必要があります。この設定を有効にすると、PCoIP オーディオが許可されます。この設定を無効にすると、PCoIP オーディオが無効になります。オーディオはデフォルトで有効です。 |